'가명정보 가이드라인' 전면 개정…위험도 기반 체계 도입

기준 표준화로 혼선 해소…서류양식 전체 24종→10종 간단하게
개인정보보호위원회

[한국방송/김근해기자] 정부가 가명정보 처리 가이드라인을 전면 개정해 위험도 기반 판단 체계를 확립하고, 가명정보 처리의 위험성 판단은 일관되게, 복잡한 서류·절차는 간단하게 개선했다.

개인정보보호위원회는 인공지능 전환(AX) 등 최근 급변하는 데이터 활용 환경 변화를 반영해 '가명정보 처리 가이드라인'을 개정한다고 31일 전했다.

이번 개정은 단순한 제도 보완을 넘어 가명정보 제도 도입 이후 현장에서 누적좨 온 다양한 어려움을 종합적으로 반영해 마련했다.

최근 개인정보위는 다수의 인공지능 기업 50곳과 1441개 전체 공공기관을 대상으로 실태조사와 심층 인터뷰를 실시하고, 실무자·전문가가 참여한 다수의 TF를 거쳐 현장의 문제점과 개선 필요사항을 면밀히 분석했다.

먼저, 표준화된 위험도 판단체계를 새로 마련했다.

그동안 가명정보 제도는 기관별·담당자별로 판단 기준이 달라 동일한 사안도 기관마다 다른 결과가 나오는 들쭉날쭉 판단으로 현장의 혼선이 지속돼 왔다.

특히 표준화된 기준 없이 검토자의 주관적 판단에 의존하다 보니 동일한 사안에도 판단 결과가 달라지는 경우가 잦아 가명정보 처리에 대한 예측 가능성을 낮추고 현장의 혼선을 심화시키는 요인으로 작용해 왔다.

이에 개인정보위는 복잡한 위험요인를 일일이 따지는 방식에서 벗어나 누가 활용하는지와 어떤 환경에서 처리되는지를 기준으로 위험도를 구분하게 했다.

이로써 내부 활용은 '저위험', 제3자 제공 때는 처리 환경의 통제 가능 여부에 따라 '중위험' 또는 '고위험'으로 판단하게 돼 동일한 사안에 대해서는 일관된 판단이 가능해진다.

다만, 개별 사례별 특수성과 기관 내부지침 등을 감안해 위험도를 상향 또는 하향 조정할 수 있게 해 일정 수준의 유연성도 함께 확보했다.

이어서 가명정보 처리 체계를 전면 개선하고 작성 서류양식도 전체 24종에서 10종으로 크게 줄였다.

그동안 가명처리 과정에서 복잡한 검토 절차와 방대한 서류 작성 요구 또한 현장 실무자들에게 큰 부담으로 작용해 왔다.

무엇보다 이를 간소화할 수 있는 명확한 기준이 없는 상황에서 개인정보 관련 책임 부담까지 더해지면서 실제 위험과 관계없이 모든 사안에 과도한 검토 절차와 서류를 일률적으로 요구하는 경우가 많았다.

데이터 활용을 저해하는 이러한 보수적 관행으로 현장에서는 불필요한 심의와 문서 작성에 많은 시간과 자원이 소요됐고 여력이 부족한 기관은 가명정보 활용 자체를 포기하는 사례도 발생했다.

이에 개인정보위는 위험도에 따라 검토 방식과 서류를 차등 적용해 위험이 낮을수록 더욱 빠르고 간단히 처리할 수 있게 했다.

예를 들어, 같은 기관 내에서 서비스 이용 통계 작성을 위해 가명정보를 활용하는 경우에는 외부 제공에 따른 새로운 위험이 발생하지 않으므로 '저위험'으로 판단해 별도의 검토위원회 없이 담당자 검토만으로 처리할 수 있으며 필요 최소한의 서류만 작성해도 된다.

또한 AI 기술 발전에 맞춰 가명정보 제도의 운영기준도 현실화했다.

그동안 가명정보 제도는 사전에 미리 정한 목적과 기간 안에서만 데이터를 활용하게 해 다양한 용도로 확장되거나 반복 학습이 필요한 AI 개발 과정에서는 제도가 현실과 동떨어진다는 지적이 많았다.

예를 들어, 과학적 연구 목적으로 특정 목적의 AI를 개발한 이후 이를 다른 분야에 응용하거나 성능을 개선하려는 경우에도 기존 목적과 다르다는 이유로 다시 처음부터 가명처리를 하거나 검토 절차를 거쳐야 했다.

이에 이번 개정으로 유사한 범위 내에 '확장할 수 있는 목적'을 사전에 함께 설정해 검토할 수 있게 허용해 동일한 가명정보를 유사 목적으로 반복 활용할 수 있는 기반을 마련했다.

이와 함께 AI는 데이터를 계속 학습하면서 성능을 개선하는 특성이 있는 만큼 AI 서비스 개발·고도화를 위해 필요한 기간에 가명정보를 지속해서 활용할 수 있도록 처리기간 설정 기준도 유연하게 개선했다.

영상·이미지·텍스트 등 대규모 비정형데이터의 경우 가명처리가 잘 됐는지 일일이 확인하는 전수조사가 현실적으로 어려운 점을 고려해 일부 데이터를 선별해 검수하는 '표본 검수' 등 다양한 검수 방식을 적용할 수 있게 안내해 데이터 처리의 효율성을 높였다.

이어서 가이드라인을 한층 쉽게 이해하고 바로 활용할 수 있게 구성을 독자 중심으로 재편했다.

일반인부터 실무자까지 다양한 독자층에도 불구하고 모든 사항을 하나의 문서로 설명해 읽기 어렵다는 지적을 반영해 가이드라인을 '본권(제도 안내편)'과 '별권(처리 실무편)'으로 구분했다.

송경희 개인정보위원장은 "그동안 가명정보 제도는 복잡한 절차와 보수적 운영으로 현장에서 진입장벽이 높은 편이었다"고 말했다.

그러면서 "현장의 애로사항과 의견을 밑바닥부터 샅샅이 청취해 실질적인 위험도를 기반으로 가이드를 전면 개편한 만큼 가속화되는 AX 환경에서 가명정보의 안전하고 효과적인 활용이 획기적으로 증가하는 전환점이 될 것으로 기대한다"고 덧붙였다.

문의: 개인정보보호위원회 데이터안전정책과(02-2100-3088)

종합뉴스